検出

Atlassian Jira < 8.13.22 / 8.20.x < 8.20.10 / 8.22.x < 8.22.4 / 9.0.0 XSS (JRASERVER-73897)

critical Nessus プラグイン ID 163432

Language:

概要

リモートの Atlassian Jira ホストにセキュリティ更新がありません。

説明

リモートホストで実行されている Atlassian Jira Server のバージョンは、JRASERVER-73897 アドバイザリに記載されている脆弱性の影響を受けます。

 - 複数の Atlassian 製品の脆弱性により、認証されていないリモート攻撃者が、ファーストパーティおよびサードパーティのアプリケーションが使用するサーブレットフィルターをバイパスする可能性があります。影響は、各アプリが使用するフィルター、およびフィルターの使用方法によって異なります。この脆弱性により、認証バイパスおよびクロスサイトスクリプティングが発生する可能性があります。
 Atlassian は、この脆弱性の根本的な原因を修正する更新をリリースしましたが、この脆弱性の潜在的な結果をすべて網羅しているわけではありません。Atlassian Bamboo のバージョンは、8.0.9より前、8.1.0 から 8.1.8より前、および 8.2.0から 8.2.4より前で影響を受けます。Atlassian Bitbucket のバージョンは、7.6.16 より前、7.7.0 から 7.17.8より前、7.18.0 から 7.19.5より前、7.20.0 から 7.20.2より前、7.21.0 から 7.21.2より前、およびバージョン 8.0.0と 8.1.0で影響を受けます。Atlassian Bitbucket のバージョンは、7.4.17 より前、7.5.0 から 7.13.7より前、7.14.0 から 7.14.3より前、7.15.0 から 7.15.2より前、7.16.0 から 7.16.4より前、7.17.0 から 7.17.4より前、およびバージョン 7.21.0で影響を受けます。Atlassian Crowd バージョンは、4.3.8 より前、4.4.0 から 4.4.2より前、およびバージョン 5.0.0で影響を受けます。4.8.10 より前のバージョンの Atlassian Fisheye および Crucible が影響を受けます。
 Atlassian Jira のバージョンは、8.13.22より前、8.14.0 から 8.20.10より前、および 8.21.0から 8.22.4より前で影響を受けます。Atlassian Jira Service Management のバージョンは、4.13.22より前、4.14.0 から 4.20.10より前、および 4.21.0から 4.22.4より前で影響を受けます。(CVE-2022-26136)

Nessus はこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

Atlassian Jira バージョン 8.13.22、8.20.10、8.22.4、9.0.0 以降にアップグレードしてください。

参考資料

https://jira.atlassian.com/browse/JRASERVER-73897

プラグインの詳細

深刻度: Critical

ID: 163432

ファイル名: jira_9_0_0_jraserver-73897.nasl

バージョン: 1.4

タイプ: combined

エージェント: windows, macosx, unix

ファミリー: CGI abuses : XSS

公開日: 2022/7/24

更新日: 2022/12/8

設定: 徹底したチェックを有効にする

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: Critical

Base Score: 10

Temporal Score: 7.4

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2022-26136

CVSS v3

リスクファクター: Critical

Base Score: 9.8

Temporal Score: 8.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:atlassian:jira

必要な KB アイテム: installed_sw/Atlassian JIRA

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2022/6/9

脆弱性公開日: 2022/7/20

参照情報

CVE: CVE-2022-26136